CVE-2025-49652 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Lablup BackendAI 注册接口**未校验身份**。 💥 **后果**：攻击者可**任意创建账户**，进而**窃取私有数据**，平台安全性彻底崩塌。

🛡️ **CWE-306**：缺少**身份验证**（Authentication Bypass）。 🔍 **缺陷点**：注册功能（Registration）未设置权限检查，任何人都能直接调用。

🏢 **厂商**：韩国 Lablup。 📦 **产品**：BackendAI（机器学习平台）。 ⚠️ **注意**：未提及具体版本号，所有受影响实例均高危。

👮 **权限**：从**无权限**直接提升至**注册用户**。 📂 **数据**：可访问原本**私有**的机器学习数据、模型或配置信息。 🔓 **CVSS**：C:H/I:H/A:H，影响全面。

📉 **门槛极低**。 🔑 **认证**：无需任何认证（PR:N）。 🌐 **网络**：网络可达即可（AV:N）。 🖱️ **交互**：无需用户界面交互（UI:N）。

📜 **PoC**：数据中 `pocs` 为空，暂无公开代码。 🌍 **在野**：暂无明确在野利用报告。 🔗 **参考**：HiddenLayer 已发布安全建议，需关注后续动态。

🔍 **自查**：尝试直接访问注册 API 端点。 ✅ **特征**：若无需 Token/登录即可返回成功注册响应，即存在漏洞。 📡 **扫描**：重点检测 `/register` 或类似接口的**鉴权缺失**。

📅 **发布时间**：2025-06-09。 🛠️ **补丁**：数据未提供具体补丁版本。 💡 **建议**：立即联系 Lablup 官方获取最新修复方案或升级指引。

🚧 **临时规避**： 1️⃣ **网络隔离**：限制注册接口仅内网访问。 2️⃣ **WAF 规则**：拦截非预期的注册请求。 3️⃣ **人工审核**：暂时关闭自动注册，改为后台手动创建账号。

🔥 **优先级：极高**。 ⚡ **理由**：CVSS 满分风险，**零门槛**即可获取私有数据。 🚀 **行动**：立即隔离受影响服务，优先实施临时规避措施。